固まった「30日＋30日」の脆弱性公表ルールという記事がmemoあたりで紹介されていましたが、某飲み会で小耳に挟んだのですが（笑）LAC社もSNSポリシーというものを公開されています。夏井先生がコメントしていたりしてますが、「３　法的に見た場合の脆弱性情報の必要性」というあたりが面白いですね。関連した記事でBlackHat系「脆弱性情報公開はDMCA違反？」という記事が出ていますね。
ちなみにこの手のネタではrain forest puppyさんのrfpolicy2.0（英語版、日本語訳by緒方理友さん）がありますね。そういえば、rfpさんがセキュリティ表舞台からリタイアしてもう3ヶ月。どんどんセキュリティ情報をめぐる動きって、フリーではなくなっているような気がします。サイバー犯罪条約の批准が進めば否応無くそういう流れになってくるんでしょうけど・・・でも日本って動き極端だからなあ（苦笑）。